Ausgehende DDOS-Attacken

  • Hallo!

    Aufbau:
    Viele hundert Endgeräte ---> NetCup Server ----> Internet

    Problem:

    Die Endgeräte gehen über den NetCup Server ins Internet. Der Server hat zu viele ausgehende Verbindungen. Daher hat mir Netcup schon mehrere Male Abuse-Meldungen geschickt. Vermutlich tobt auf einigen Endgeräten ein Virus/Wurm/Trojaner, der DDOS Attacken ins Internet startet. Die Endgeräte kann ich nicht beeinflussen. Daher möchte ich zumindest den Server so gut wie möglich absichern.

    Für die Forwarding Regeln habe ich folgendes konfiguriert, um die Anzahl der NEUEN, von einer Quell-IP ausgehenden Verbindungen zu limitieren:

    -A FORWARD -p tcp --syn -m hashlimit --hashlimit 30/s --hashlimit-burst 60 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name synattack -j ACCEPT

    -A FORWARD -p tcp --syn -j LOG

    -A FORWARD -p tcp --syn -j DROP

    Scheinbar hat das mal so gar nichts gebracht. Kann mir jemand helfen?

    Gruß,
    Rüdiger

    PS: Die anonymisierte Abuse-Meldung:


  • Vermutlich tobt auf einigen Endgeräten ein Virus/Wurm/Trojaner, der DDOS Attacken ins Internet startet. Die Endgeräte kann ich nicht beeinflussen.

    Wieso kannst Du die nicht beeinflussen? Wenn von dort ausgehende Attacken ausgeführt werden, wäre es doch passend diese Geräte aus dem Netzwerk zu bannen, oder?


    (Dass es eine handvoll gute Gründe dagegen geben kann, ist mir bewusst. Ohne mehr Details klingt das aber leider noch nicht sehr wahrscheinlich.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat

    Die Endgeräte gehen über den NetCup Server ins Internet. [snip]

    Vermutlich tobt auf einigen Endgeräten ein Virus/Wurm/Trojaner, der DDOS Attacken ins Internet startet. Die Endgeräte kann ich nicht beeinflussen.


    Ich hätte da aber Angst vor der Staatsanwaltschaft, selbst bei entsprechenden Nutzungsbedingungen deines Servers und der namentlichen Kenntnis deiner "Kunden". Stichwort: Störerhaftung, Mitstörer, ...

    In der Vergangenheit wurden immer wieder Provider (unter Strafe) verknackt, für ihre Kunden die Verantwortung zu übernehmen. Und das mit Recht!


    Ich betreibe auch mehrere Server, einen hier bei Netcup. Solche "Kunden" fliegen nach einem Hinweis raus! Allerdings kann ich mir das inzwischen erlauben. Ich weiß natürlich nicht, ob du das auch kannst.

    Aber bedenke: Es ist deine Reputation die leiden wird, was auch immer du anbietest.

  • Das ist quasi ein ähnlich wie ein Tor Exit / Freifunk Node / VPN Endpoint, richtig?


    Dann kann man da ohne größere Einschränkungen vermutlich nicht viel machen. Um entsprechende iptables Rules konfigurieren zu können, müsste man den Server besser kennen.

  • Das ist quasi ein ähnlich wie ein Tor Exit / Freifunk Node / VPN Endpoint, richtig?

    Es ist ein Freifunk Gateway Server. Über einen Port kommen die Anfragen der Clients rein. Über unsere Server gehen sie raus. Welche Informationen fehlen dir? Ich liefere gerne.

  • Wieso kannst Du die nicht beeinflussen? Wenn von dort ausgehende Attacken ausgeführt werden, wäre es doch passend diese Geräte aus dem Netzwerk zu bannen, oder?


    (Dass es eine handvoll gute Gründe dagegen geben kann, ist mir bewusst. Ohne mehr Details klingt das aber leider noch nicht sehr wahrscheinlich.)

    Wenn du mir sagst, wie ich normalen Traffic von DDOS Traffic unterscheide und diesen effektiv banne - ich bin für alle Vorschläge offen. Ich kann die Endgeräte nicht beeinflussen. Ich kann sie aber natürlich bannen. Ich brauche hier nur etwas Hilfe.